Violazioni della sicurezza informatica nel corso degli ultimi 12 mesi sono state segnalate dal 90% delle società e delle agenzie governative che, come avviene ogni anno, sono state interpellate di recente dall’FBI e dal Computer Security I …
Violazioni
della sicurezza informatica nel corso degli ultimi 12 mesi sono state segnalate
dal 90% delle società e delle agenzie governative che, come avviene ogni
anno, sono state interpellate di recente dall’FBI e dal Computer Security
Institute. E’ risultato che ben l’80% degli intervistati ha subito
perdite finanziarie in conseguenza di tali violazioni.
Anche se molte piccole imprese hanno realizzato sistemi per salvaguardare i
dati relativi ai clienti e ad altre informazioni di business, il crescente uso
dei computer e di Internet nelle attività aziendali apre molte nuove
aree di vulnerabilità, sia interne che esterne. Ciò pone a rischio
l’avviamento commerciale di un’azienda, il suo marchio, la sua immagine,
e perfino l’attività d’impresa stessa.
La tranquillità che deriva da una sicurezza adeguata non è un
lusso destinato esclusivamente alle grandi imprese, bensì una necessità
anche per la più piccola delle aziende. Fortunatamente un approccio di
“buon senso” per identificare le potenziali vulnerabilità
è adottabile da aziende di tutte le dimensioni che possono in conseguenza
implementare un processo che assicuri loro protezione.
Ecco i 10 passi chiave da seguire:
1. Definire un regolamento, una politica di sicurezza delle informazioni
della propria azienda. Una buona gestione della sicurezza inizia col
mettere per iscritto delle linee guida che delineino tutti gli obiettivi, gli
standard e i requisiti di conformità dell’azienda in materia di
sicurezza delle informazioni. Questo documento può essere usato anche
dal management come strumento per sensibilizzare l’intera organizzazione
sui principi di sicurezza aziendali.
2. Assegnare la responsabilità per la sicurezza. Chi
è il responsabile della sicurezza delle informazioni in azienda? Non
è necessario assumere un Direttore della Sicurezza delle Informazioni,
ma è essenziale nominare una persona all’interno dell’azienda
che si assuma la responsabilità, nei confronti del team direttivo, della
tutela e della promozione della sicurezza delle informazioni in tutta l’organizzazione.
3. Fare un inventario del patrimonio informativo. Le aziende
dovrebbero redigere e tenere aggiornato un elenco del patrimonio informativo
– comprendente software, apparecchiature informatiche, database e file
– e documentarne l’ubicazione, la classificazione ai fini della
sicurezza e il proprietario interno. Questo elenco aiuta ad assegnare la responsabilità
di ciascuna risorsa e garantisce che i soggetti si preoccupino della relativa
protezione.
4. Selezionare il personale chiave. Tutelarsi dalle minacce
alla sicurezza che arrivano dall’interno è importante quanto proteggersi
dalle minacce esterne. E’ bene sviluppare politiche in grado di impedire
ai dipendenti di danneggiare, anche involontariamente, sistemi e dati critici.
5. Proteggere fisicamente il patrimonio informativo. Dove
sono alloggiate le apparecchiature informatiche principali della propria azienda?
Non è necessario allestire un centro di calcolo speciale: il semplice
accorgimento di chiudere i propri server in un locale separato, non accessibile
a nessun dipendente durante il giorno né al personale di pulizia durante
la notte, può costituire un’importante misura di sicurezza.
6. Gestire efficacemente la rete. Molte aziende non documentano
mai le procedure corrette per il funzionamento dei propri sistemi informatici.
Quindi, se si verifica un cambiamento nel personale IT, è possibile che
le informazioni critiche non vengano trasferite al nuovo dipendente provocando
eventualmente un guasto del sistema, la perdita dei dati o la violazione della
loro confidenzialità.
7. Creare regole severe di controllo degli accessi. I dipendenti
sono in grado di installare software di terzi sui propri computer? L’azienda
regola il livello di informazioni interne a cui i dipendenti possono accedere?
Le aziende devono definire rigorosamente i permessi utente concessi ai dipendenti.
Ciò non solo previene l’accesso non autorizzato ai dati confidenziali
e tutela l’integrità delle risorse informatiche, ma protegge anche
dalla responsabilità derivante dall’uso di software non autorizzato.
8. Incorporare la sicurezza in tutti i nuovi sistemi e le nuove applicazioni.
Se viene installato un nuovo componente hardware o software, occorre assicurarsi
che sia compatibile con i sistemi esistenti, per evitare guasti, e configurare
il corretto livello di sicurezza per evitare di creare nuove vulnerabilità.
Ad esempio, molti prodotti firewall sono impostati dalla fabbrica a un livello
minimo di sicurezza, che potrebbe non essere adeguato a proteggere la propria
rete.
9. Sviluppare un piano di business continuity. Sareste in
grado di riprendervi da un incendio, allagamento, virus informatico o guasto
del sistema? È opportuno sviluppare un processo di business continuity,
o contingency plan, che spieghi chiaramente le misure che dovrà adottare
l’azienda per limitare le interruzioni in caso di disastro e per ripristinare
rapidamente le applicazioni essenziali per garantire la continuità delle
attività aziendali.
10. Assicurare la conformità alle regole e alle leggi vigenti.
Devono essere definite procedure e controlli appropriati, non solo per conformarsi
alle leggi in vigore a livello nazionale e locale che disciplinano le attività
della propria impresa, ma anche per rispettare le leggi sul copyright, come
per esempio per le licenze software. Inoltre, le registrazioni aziendali importanti
devono essere salvaguardate, nel caso in cui siano richieste come prova di conformità
o per la difesa da potenziali azioni legali in sede civile o penale.
Buona sicurezza significa buon business. Nel seguire questi 10 passi, occorre
ricordare che la sicurezza delle informazioni non è solo un problema
tecnico, ma anche una questione di business. Dopo tutto, per molte piccole imprese
la proprietà intellettuale è probabilmente la più grande
risorsa (oltre alle persone) e salvaguardarla dovrebbe essere parte della strategia
di core business.
La sicurezza è un viaggio continuo, non una destinazione. È necessario
aggiornare continuamente documentazione e sistemi con l’evolversi dell’attività
aziendale. Controllate regolarmente le patch di sicurezza più recenti
offerte dai propri fornitori di hardware e software. Assicuratevi che il provider
di servizi Internet mantenga protezioni adeguate di sicurezza e business continuity.
Un’alternativa è consultare un provider di soluzioni di Information
Technology specializzato nelle soluzioni e nei servizi di sicurezza. Assicuratevi
però di cercare un’azienda che sia etica, di buona reputazione
e competente. Verificate che eseguano controlli sui propri dipendenti ed accertatevi
che scelgano tra svariate opzioni tecnologiche quelle che meglio soddisfano
le vostre esigenze. Inoltre, chiedete se hanno le certificazioni per il software
e l’hardware che forniscono. Ricordate che state aprendo il “forziere”
della vostra azienda – e i vostri dati sono insostituibili.
